Expertenpapier Die Cyber-Police. Das Plus für mehr Datensicherheit. Es gibt zwei Arten von Unternehmen: Solche, die schon gehackt wurden und solche, die es noch werden. (Robert Mueller, Direktor des FBI) Cyberkriminalität und IT-Risiken die wachsende Bedrohung für Unternehmen. Die IT ist einer der entscheidenden Erfolgsfaktoren für Unternehmen, egal ob freie Berufe oder Produktionsbetriebe. IT-Sicherheit gehört deswegen zu den Schlüsselfaktoren für nachhaltigen Erfolg. Ein qualifiziertes Sicherheitskonzept und Problembewusstsein der Mitarbeiter sind dafür die Basis. Aber das hilft nicht immer! Durch Angriffe aus dem Netz oder Daten-Pannen können Betriebe dennoch komplett lahmgelegt werden. Unsere Lösung: Die Cyber-Police. Die Cyber-Police schützt Unternehmen nicht nur vor den wirtschaftlichen Folgen von IT- und Cyberrisiken. Im Schadenfall stehen Ihnen über unsere Experten-Hotline IT-Spezialisten und Fachanwälte zur Seite. Gemeinsam mit Ihnen leiten sie die notwendigen Maßnahmen ein. Bei Bedarf helfen sie auch schnell und unbürokratisch vor Ort. Die Highlights der Cyber-Police. Übernahme der Kosten für Ursachenermittlung, Behebung der Schadenursache und Rekonstruktion von Daten/Systemen nach einem Hackerangriff. Im Schadenfall schnelle und unbürokratische Hilfe über unsere Experten-Hotline. Mitversichert sind beispielsweise auch: Ansprüche der Payment Card Industry z. B. bei Kartenmissbrauch Elektronischer Zahlungsverkehr und fehlerhafter Versand von Waren Schäden aufgrund Betriebsunterbrechung (Mehrkosten und Ertragsausfall) Welche Daten sind betroffen? Die über IT-Systeme verwalteten Daten in Unternehmen sind vielschichtig: Kunden- und Mitarbeiterdaten. Produktdaten, Konstruktionspläne oder Patentanmeldungen. Kassen- und Kreditkartendaten. Angebots- und Abrechnungsdaten. Dokumente, Korrespondenzen. Ein Ausfall der IT-Systeme führt zu erheblichen Aufwänden. Welche Unternehmen sind besonders gefährdet? Versicherungsschutz benötigen alle dienstleistenden, produzierenden oder verarbeitenden Unternehmen. Insbesondere Untenehmen und Freiberufler,! die personenbezogene oder vertrauliche Daten verarbeiten, deren IT-Systeme von wesentlicher Bedeutung für den Unternehmenserfolg sind (z. B. Handwerksbetriebe mit Angeboten und Abrechnungen mit vielen Detailinformationen), die Online-Geschäfte tätigen. Die Cyber-Police: Die richtige Lösung für Unternehmen bis 10 Mio. Euro Jahresumsatz! 9318 [3] 4/2015
Beispiele aus der Praxis. Risiken bei Datensicherheit unterschätzt. (Cyber Risk Survey 2013) Es kann jeden treffen, z. B. Internet-Kriminelle verschaffen sich Zugang zu den Kreditkarten- und Bankdaten aus dem Ticket-Server eines Konzertveranstalters. In den kommenden Wochen buchen Unbekannte mehrfach Beträge von den Kreditkarten-Konten der Rock-Fans ab. Alle Kunden müssen angeschrieben und auf den Diebstahl hingewiesen werden. Der Ticket server muss neu aufgesetzt und gesichert werden und Schadenersatzforderungen stehen auch noch aus. Eine Firma bietet Telekommunikations-Anlagen und -Geräte sowohl über den Einzel- und Großhandel als auch online an. Über einen Zeitraum von 5 Tagen wird der Firmen-Server über einen Denial-of-Service (DoS)- Angriff (absichtlich herbeigeführte Serverüberlastung) zum Absturz gebracht, sodass keine Geschäftsabwicklung mehr möglich ist. Neben dem Ertragsausfall entstehen Kosten für die Beendigung des DoS-Angriffs und der Verhinderung weiterer Angriffe. Über soziale Netzwerke werden gezielt Mitarbeiter ausgespäht, um auf sie zugeschnittene E-Mails versenden zu können, die einen Trojaner beinhalten. Dieses Spear Phishing ist eine gezielte Angriffsmethode gegen ausgesuchte Personen wie z. B. Mitarbeiter mit Administratorenrechten oder Mitglieder der Führungsebene eines Unternehmens. Eine Sensibilisierung der Mitarbeiter hinsichtlich der Methoden des Social Engineering ist daher erforderlich. Die Webseite einer Gaststätte wird von Hackern so verändert, dass statt eines mondänen Restaurant-Bildes die Innenansicht eines in die Jahre gekommenen Fast-Food-Restaurants gezeigt wird. Was ist jetzt zu tun? Wie können künftig unberechtigte Veränderungen der Webseite erschwert werden? Diese Fragen beantworten Ihnen unsere Spezialisten an unserer Experten-Hotline. Von einem Hacker wurden die Kreditkartendaten von Hotelgästen abgefangen. Wird der vorgegebene Standard der Kreditkartenindustrie nicht eingehalten, kann es zusätzlich zu empfindlichen Forderungen kommen. Und natürlich wird die Reputation eines Hauses dadurch beeinträchtigt. Nach dem Öffnen einer an einen Handwerker gerichteten E-Mail aktiviert sich ein Trojaner und versperrt den Zugang in das IT-System. Ein Angebot, die Verschlüsselung gegen Zahlung einer Geldsumme wieder aufzuheben, folgt umgehend. Nach Einschätzung des beauftragten IT-Unternehmens kostet die Entschlüsselung einen 5-stelligen Betrag. Die forensische Tätigkeit benötigt 10 Arbeitstage und führt zu einer teilweisen Betriebsunterbrechung.
Versicherungsumfang. Versichert ist die Informationssicherheitsverletzung. Dazu gehören: 1. Verletzungen der Netzwerksicherheit Zielgerichtete Verletzung der Netzwerksicherheit durch eine Übermittlung von Schadsoftware (Malware, wie z. B. Viren, Trojaner etc.) mit dem Ziel, die auf den lt-systemen des Versicherungsnehmers oder mitversicherter Unternehmen befindlichen Daten oder Programme zu löschen oder zu verändern oder den Funktionsablauf des IT-Systems zu stören (Integrität und Verfügbarkeit von Daten und IT-Systemen); einen Denial-of-Service-Angriff auf IT-Systeme des Versicherungsnehmers oder mitversicherter Unternehmen; eine Verhinderung des autorisierten Zugangs Dritter zu ihren Daten; eine unberechtigte Aneignung von Authentifizierungsinformationen (Zugangscodes, Passwörter) des Versicherungsnehmers, mitversicherter Unternehmen oder mitversicherter Personen; eine Verletzung der Netzwerksicherheit des IT-Systems des Versicherungsnehmers oder mitversicherter Unternehmen durch Dritte im Sinne von 303b StGB (Computersabotage); eine unberechtigte Veränderung oder Löschung von in IT-Systemen des Versicherungsnehmers oder mitversicherter Unternehmen gespeicherten Daten; einen Diebstahl von IT-Systemen des Versicherungsnehmers oder mitversicherter Unternehmen durch Dritte oder deren Verlust. Nicht zielgerichtete Verletzung der Netzwerksicherheit durch eine Übermittlung von Schadsoftware (Malware wie z. B. Viren, Trojaner etc.), die auf den IT-Systemen des Versicherungsnehmers oder mitversicherter Unternehmen befindliche Daten oder Software löscht oder verändert oder den Funktionsablauf des IT-Systems stört (Integrität und Verfügbarkeit von Daten und IT-Systemen). Eine unberechtigte Veröffentlichung oder Weitergabe von Daten Dritter durch Mitarbeiter des Versicherungsnehmers oder mitversicherter Unternehmen. 2. Verletzung datenschutzrechtlicher Bestimmungen, wie beispielsweise des Bundesdatenschutzgesetzes 3. Verletzung der Datenvertraulichkeit von Daten Dritter durch die Versicherten
Was ist konkret versichert? Versicherungsumfang/Entschädigungsleistung: Haftpflicht Schadenersatzansprüche Dritter wegen eines Vermögensschadens durch eine Informationssicherheitsverletzung Haftungsfreistellung bei Datenverarbeitung durch Dritte Rechtsverteidigungskosten bei strafrechtlichen Ermittlungs- und Ordnungswidrigkeitenverfahren Ansprüche der Payment Card Industry einschließlich Vertragsstrafen Haftung bei Weitergabe eines Computervirus an Dritte Ansprüche wegen unrechtmäßiger Kommunikation/Veröffentlichung von digitalen Medieninhalten Verletzung von Patenten, Markenrechten, Urheberrechten Plagiat, widerrechtliche Verwendung oder Diebstahl von Ideen oder Informationen oder missbräuchliche Verlinkung Rufschädigung Verletzung des Persönlichkeitsrechts einer Person Veröffentlichung von Informationen aus der Privatsphäre Kommerzielle Verwendung des Namens Verletzung des Wettbewerbsrechts Eigenschaden Datenschaden (Nachteilige Veränderung von Daten durch eine Netzwerksicherheitsverletzung) Maschinelle Wiedereingabe von Daten aus Sicherungsdatenträgern Wiederbeschaffung/Wiedereingabe von Stamm- und Bewegungsdaten Wiederbeschaffung/Wiedereingabe von Betriebssystemen und Standardprogrammen Wiedereingabe von individuell hergestellten Programmerweiterungen Kosten durch Kopierschutzstecker oder Verschlüsselungsmaßnahmen (Lizenzerwerb) Elektronischer Zahlungsverkehr Fehlerhafter Versand von Waren/Warenverluste Optional: Lösegeld (bei Erpressung z. B. durch unrechtmäßige Verschlüsselung der Daten) Mehrkosten- und Ertragsausfall infolge einer Netzwerksicherheitsverletzung infolge einer Datenschutzverletzung
Kosten (die infolge einer Informationssicherheitsverletzung entstehen) Forensik-Kosten (Kosten für Ursachenermittlung) Feststellung ob eine Informationssicherheitsverletzung vorliegt Ermittlung der Ursache der Informationssicherheitsverletzung Ermittlung des Umfangs der Informationssicherheitsverletzung Empfehlung geeigneter Maßnahmen zur Reaktion und künftigen Abwehr auf diese Informationssicherheitsverletzung Kostenübernahme auch wenn nach Prüfung kein ersatzpflichtiger Schaden vorliegt Verzicht auf SB Krisenkommunikation, Mediation, Reputationssicherung Angemessene und notwendige Kosten für PR- oder Krisenmanagement-Maßnahmen Kosten für angemessene Marketingmaßnahmen und Öffentlichkeitsarbeit Abwendung einer Rufschädigung und Wiederherstellung der positiven öffentlichen Wahrnehmung durch Beauftragung eines Mediators oder Krisenkommunikationsunternehmens Informations-/Benachrichtigungskosten Kreditkartenmonitoring Kosten für die Benachrichtigung der Betroffenen und der verantwortlichen Datenschutzbehörde Kosten für Kreditkartenmonitoring zur Prüfung und Benachrichtigung der Betroffenen Nicht versichert sind: Personen- oder Sachschäden (mit Ausnahme von versicherten Daten, Programmen und fehlerhaftem Versand von Waren), kaufmännische Betriebsunterbrechung (Kundenabwanderung). Bußgelder. Versicherungssummen Kombinierte Haftstrecke für alle versicherten Deckungs-Bausteine. Mögliche Versicherungssummen (einfache Maximierung): 125.000, 250.000, 500.000, 1 Mio., 2 Mio. Keine Anrechnung einer Unterversicherung. Sublimits (Entschädigungsgrenzen) 10.000 für nicht zielgerichtete Verletzung der Netzwerksicherheit durch Übermittlung von Schadsoftware. 50% der Versicherungssumme für Datenvertraulichkeitsverletzungen wegen Ansprüchen von E-Payment Service Providern wegen unrechtmäßiger Kommunikation für Eigenschäden Lösegeld begrenzt auf 10% max. 100.000 für Kostenpositionen Laufzeit Einjährige Verträge. Versicherungsjahr entspricht dem Geschäftsjahr. Versicherungsschutz besteht auch für Versicherungsfälle, die während der Wirksamkeit des Vertrags eintreten (Schadenereignis), deren Ursache aber bereits vor Vertragsbeginn gesetzt und dem Versicherungsnehmer nicht bekannt war.
Betriebsarten, Selbstbehalte und Voraussetzungen. Betriebsarten mit einfacher Prüfung Alle Betriebsarten, sofern nicht als Risiko mit detaillierter Prüfung oder Ausschlussrisiko definiert und Umsatz bis 5 Mio.. mit detaillierter Prüfung Risiken ab einem Gesamtumsatz von 5 Mio. und Risiken, die aufgrund ihrer Betriebsart einer besonderen Prüfung bedürfen; z. B. Arzt, Apotheke, Druckerei, Verlag, Werbeagentur, Fotolabor, Film- und Tonstudio, Journalist, Architekt, Ingenieur, Rechts-, Wirtschafts- und Steuerberater, Reisebüro, IT-Dienstleister sofern nicht Softwareentwicklung, Online-Handel (auch teilweise), Versandhandel. Nicht versichert werden z. B. Krankenhaus, Medizingerätehersteller, Blutuntersuchungslabor, Softwareentwicklung, Webhoster, Provider, Bank, öffentliche Verwaltung. Selbstbehalt Generell 1.000 (Betriebsarten mit einfacher Prüfung)/2.500 (Betriebsarten mit detaillierter Prüfung). Für Ertragsausfall und Mehrkosten zeitlicher Selbstbehalt 24 Stunden. Der Selbstbehalt wird bei einem Schadenereignis nur einmal in Abzug gebracht. Es zieht der jeweils höhere Selbstbehalt. Bei der Nutzung der Experten-Hotline der Württembergischen wird kein Selbstbehalt angerechnet. Voraussetzungen für den Versicherungsschutz. Mindestens wöchentliche Datensicherung. Getrennte Aufbewahrung. Möglichkeit der Rücksicherung. Übliche, ständig aktualisierte Schutzmaßnahmen gegen die bestimmungswidrige Veränderung/ Löschung gespeicherter Daten durch Firewalls, Antivirenprogramme, Zugriffsschutzprogramme und unverzügliche Installationen von Patches. Branchenübliche Vorkehrungen zum Datenschutz werden getroffen. Prüfung digitaler (Medien-)inhalte vor deren Veröffentlichung. Sofern ein IT-Dienstleister eingesetzt wird, werden die genannten Maßnahmen mit dem Dienstleister vertraglich vereinbart.
Die Anforderungen an den Datenschutz steigen. Das Bewusstsein für die ökonomischen Schäden durch Hackerangriffe wächst. (FAZ, 8.8.2013) Auch Freiberufler und kleinere Unternehmen sind betroffen. Die Möglichkeiten, wie personenbezogene Daten gefährdet sein können, sind vielfältig: Gerichtsakten werden auf einer Mülldeponie gefunden. Ein Rechtsanwalt hatte sie nicht ordnungsgemäß entsorgt. Auf einem Laptop, der aus dem verschlossenen Auto eines Bäckereimitarbeiters gestohlen wurde, befanden sich personenbezogene Daten aktueller und ehemaliger Mitarbeiter. Ein verlorener USB-Stick eines Wirtschaftsprüfers enthielt vertrauliche Bilanzdaten von Kunden. Die Verantwortung liegt bei dem Unternehmen, das personenbezogene Daten von Mitarbeitern oder Kunden verarbeitet oder verarbeiten lässt. Unabhängig von der Größe des Unternehmens. In Datenschutzangelegenheiten gelten für Unternehmen in Deutschland folgenden Rechtspflichten: Benachrichtigung betroffener Kunden/Mitarbeiter. Benachrichtigung der Datenschutzaufsichtsbehörde des Bundeslandes. Einzige Ausnahme: Geringes Schadenrisiko und Datenverschlüsselung. Kann das Unternehmen nachweisen, dass es unwahrscheinlich ist, dass auf personenbezogene Daten zugegriffen wurde, kann die Informationspflicht hinfällig werden. Bestehen Zweifel, ob eine Ausnahmeregelung greift, gelten die Informationspflichten in vollem Umfang. Bei Hardware verlusten (z. B. Laptop) muss festgeststellt werden, welche Betroffenen im Einzelnen zu benachrichtigen sind. Bei besonders sensiblen Daten müssen die Benachrichtigungen teilweise als Brief versandt werden. Zusätzlich fallen Kosten für die Aufklärung des Sachverhalts, Rechtsberatungskosten und ggfs. Haftpflichtansprüche gegen das vom Datenverlust betroffene Unternehmen an.
Hinweise zur IT-Sicherheit. Ein angemessenes IT-Sicherheitskonzept ist die Voraussetzung für eine wirksame Reduzierung der Gefahr von Störungen des betrieblichen Ablaufs. Für die Absicherung des Restrisikos haben Sie über die Cyber-Police einen exzellenten Versicherungsschutz. Um die Gefahr einer Betriebsstörung von vorneherein zu reduzieren, empfehlen wir Ihnen untenstehende Maßnahmen und zusätzlich die Einschaltung eines qualifizierten IT-Dienstleisters: Sensibilisieren Sie Ihre Mitarbeiter für mehr Informationssicherheit. IT-Risiken müssen klar kommuniziert werden und allen Mitarbeitern bewusst sein. Übernehmen Sie sicherheitsrelevante Patches der Softwarehersteller unverzüglich am besten über automatische Updatefunktion. Verwenden und aktualisieren Sie regelmäßig Ihre Anti-Virus-Software. Virencheck: Lassen Sie den Virenscanner im Hintergrund laufen. Dateien werden so bei Zugriff gescannt. Verwenden Sie nur Software aus vertrauenswürdigen Quellen. Gehen Sie mit Downloads von Programmen, Bildschirmschonern und Daten- Dateien aus dem Internet sorgsam um. Sie können Trojaner oder Viren enthalten. Schützen Sie Ihren elektronischen Firmenzugang durch eine für Ihr Unternehmen geeignete Firewall, durch VPN-Zugänge oder ähnliches. Im Idealfall als eigenständige Hardware-Firewall, die nicht im DSL-Router integriert ist. Richten Sie für Ihr WLAN mindestens eine WPA2- Verschlüsselung ein. Öffentliche WLAN-Netze sind unsicher. Geben Sie keine vertraulichen Daten wie z. B. Passwörter und Kontodaten ein. Schalten Sie bei mobilen Geräten (Smartphone, Tablet, Laptop etc.) die Bluetooth- oder WLAN-Funktion Ihres Endgerätes nur dann ein, wenn Sie diese bewusst zur Kommunikation einsetzen. Schließen Sie keine USB-Sticks, SD-Karten und andere Speichermedien von nicht vertrauenswürdigen Quellen an einen Rechner an. Verschlüsseln Sie sensible (u.a. personenbezogene) Daten bei Daten-Speicherung (auch auf mobilen Geräten und USB-Sticks), bei Backup-Medien und bei Datenversand. Verwenden Sie für jeden Nutzer und Administrator benutzerindividuelle, ablaufende Passwörter. Sperren Sie Ihre Rechner bei Inaktivität automatisch, dies gilt insbesondere auch für mobile Geräte. Sichern Sie Ihre Daten nach dem Großvater/Vater/ Sohn-Prinzip. Die Datensicherung sollte mindestens einmal wöchentlich erfolgen. Es sollte nachvollziehbar dokumentiert werden, wann Datensicherungen erfolgten und wie gesichert wurde. Die verwendeten Datensicherungen müssen eindeutig gekennzeichnet sein. Lagern Sie Ihre Sicherungsdatenträger in einem anderen Gebäude oder in einem geeigneten Datensicherungsschrank. Prüfen Sie, ob Datensicherungen ordnungsgemäß durchgeführt wurden, beispielsweise ob sich die gesicherten Daten auch wieder auf die Anlage zurückspielen lassen. Datenschutz: Achten Sie auf die sichere Entsorgung von Papier und Datenträgern (Festplatten, USB-Sticks etc.). Schützen Sie Ihren Server im Idealfall durch eine physische Zutrittsbeschränkung zum Server-Raum. Setzen Sie Empfehlungen des Branchenverbandes zum sicheren Umgang und Versand von Daten und Programmen um. Führen Sie vor Veröffentlichung von Medieninhalten (bspw. Bildnutzung) eine fachrechtliche Prüfung durch. Bitte beachten Sie, dass der oben genannte Maßnahmenkatalog keinen Anspruch auf Vollständigkeit oder Allge - meingültigkeit erhebt. Die Einhaltung dieser Maßnahmen verringert zwar die Möglichkeit einer Störung Ihres IT-Systems, völlig ausschließen lässt sich diese Gefahr jedoch nicht. Vom Bundesministerium für Wirtschaft und Energie wurde die Initiative IT-Sicherheit in der Wirtschaft ins Leben gerufen. Unter www.it-sicherheit-in-der-wirtschaft.de finden Sie zahlreiche Angebote wie beispielsweise einen kostenlosen Webseiten-Check für Ihre Unternehmenswebseite, einen IT-Sicherheitsnavigator und eine Sensibilisierungskampagne für Ihre Mitarbeiterinnen und Mitarbeiter.! Erst ein passendes IT-Sicherheitskonzept, in Verbindung mit unserer Cyber-Police, bietet Ihnen den maximalen Schutz vor finanziellen Nachteilen bei einem Cyber-Vorfall.